Siempre he pensado que los blogger son objetivo fácil para infectar de virus sus computadoras. Basta con preparar una página con código malicioso, enlazar desde esa página a un blog y esperar que el blogger de turno perciba el enlace y se pase por allí.

Si el que pica tiene versiones antiguas de algún programa con alguna vulnerabilidad conocida seguramente la visita al sitio malicioso supondrá una infección de su ordenador.

Eso en mi caso solo era teoría hasta que hoy, revisando los enlaces entrantes a través de Technorati, he visto que no soy el único que ha pensado lo mismo.

Como podéis ver en la imagen de arriba tras visitar uno de los sitios que según Technorati enlazaban el blog he sido inmediatamente redirigido a otra página en la que un virus ha intentado instalarse de forma automática.

Afortunadamente para mi, el antivirus ha saltado y me ha evitado problemas mayores. Después del susto he revisado la página que realiza la redirección y he observado que ya no enlaza mi blog, por lo que supongo que irá cambiando estos enlaces de forma dinámica para que sean más los que piquen.

Recomiendo a todos que sean prudentes a la hora de seguir el rastro a los enlaces entrantes, que mantengan actualizados sus programas y sistemas operativos y por supuesto que usen y actualicen su antivirus. Tengan en cuenta que un ataque como éste, que lo que busca es infectar a bloggers y webmasters, puede tener como consecuencia el secuestro de la página o la inserción de código malicioso en nuestros sitios. Sean prudentes. Saludos avinagrados.

Durante unos días Genbeta estuvo fuera de servicio por el ataque DDoS que sufrió. Actualmente todo ha vuelto a la normalidad pero ¿Qué es un ataque DoS?, ¿es lo mismo que un ataque DDoS?, ¿podemos defendernos de estos ataques?. Veamos las respuestas a estas preguntas de forma rápida y sencilla.

Un servidor (ordenador que aloja una página web o blog) está preparado para soportar un número máximo de conexiones simultaneas. Superado ese número de conexiones pueden pasar dos cosas, que el servidor no responda a más peticiones entrantes o que se desconecte de la red y por tanto quede sin conexión (off line).

De esta forma si un ordenador mal intencionado solicita un número suficiente de peticiones simultaneas puede llegar a saturar los puertos del servidor y provocar que éste deje de funcionar correctamente. Éste es el ataque DoS (Denial of Service) que se traduce como Denegación de Servicio ya que consigue que el servidor deje de prestar servicio a las nuevas peticiones, sean legítimas o no.

Como se puede ver en la imagen el ordenador atacante satura al ordenador atacado (servidor) consumiendo sus recursos (ancho de banda, memoria RAM, etc.). De esta forma el atacante consigue que el servidor rechace las nuevas conexiones, es decir que los siguientes usuarios que intenten acceder, sean atacantes o no, serán rechazados y se les denegará el servicio (DoS).

También puede pasar que el consumo de recursos sea tan excesivo que el administrador del servidor desconecte el servidor de La Red hasta que termine el ataque o encuentre una forma de repelerlo.

De esta forma el servidor queda sin conexión (off line) y ninguna conexión es posible. Ahora es el momento de localizar la IP del ordenador atacante para impedirle el acceso al sistema e impedir el ataque DoS. Pero ¿que pasa cuando el ataque se realiza desde IP distintas y de forma sincronizada?

Cuando el ataque es recibido desde un solo ordenador la defensa en principio es sencilla, consistiría en detectar la IP atacante y bloquear su acceso al servidor. Pero existe una variante del ataque DoS en la que el ataque es realizado desde distintos ordenadores que están localizados (distribuidos) en diferentes puntos. Éste es ataque DDoS (Distributed Denial of Service) que es una ampliación del ataque DoS y que se traduce como Denegación de Servicio Distribuida debido a que el ataque proviene de distintos puntos.

En este tipo de ataques suelen emplearse ordenadores zombies que son ordenadores infectados por un software que permite a un usuario remoto controlarlos. De esta forma es posible coordinar un ataque desde cientos o miles de ordenadores zombies de forma simultanea.

El problema es el mismo que el anterior pero con el agravante de que el ataque suele ser mucho más fuerte y al ser distribuido la defensa es más compleja.

Si recibes un ataque DDoS y tienes un alojamiento (hosting) compartido será tu proveedor quién tenga que hacer frente al ataque ya que tu no tendrás acceso al servidor atacado. En cambio si usas un servidor dedicado (y puede que también en uno virtual) tendrás que hacer uso de diversas herramientas de distinta complejidad pero todas ellas no aptas para el usuario medio. En elhacker.net tienes una lista de posibles defensas ante un ataque de este tipo, desconozco si son válidas pues jamás las implementé y espero no tener que hacerlo.

En cualquier caso esperemos al artículo prometido en Ataque de DDoS a Genbeta en el que nos informarán de las lecciones aprendidas durante el ataque. Seguro que podremos obtener buena información sobre qué hacer en estos casos. Saludos avinagrados.